谷歌今天发布了Chrome网络浏览器的安全更新,修补了10个安全漏洞,其中包括一个零日漏洞,该漏洞目前正被广泛利用。
被确认为CVE-2020-16009的零日是由谷歌的威胁分析小组(TAG)发现的,该小组是谷歌的一个安全团队,负责跟踪威胁参与者及其正在进行的操作。
按照谷歌的典型方式,零日和利用该漏洞的组织的细节尚未公开-这是为了让Chrome用户有更多时间安装更新,并防止其他威胁行为者为同一零日开发自己的漏洞。
然而,在今天发布的一份简短的ChangeLog报告中,谷歌表示,零日驻留在处理JavaScript代码的Chrome组件V8中。
这是谷歌在过去两周内发现的第二个Chrome零日漏洞。
10月20日,谷歌还发布了针对Chrome的安全更新,为cve-2020-15999打补丁,在Chrome的FreeType字体渲染库中为零日。
正如谷歌上周周五透露的那样,这个Chrome零日与Windows零日版本(CVE-2020-17087)一起被广泛使用。
Chrome零日被用来在Chrome内部执行恶意代码,而Windows零日被用来提升代码的权限并攻击底层的Windows操作系统。微软预计将在11月10日,也就是公司周二发布下一个补丁时,对这个零日进行补丁。